En uno de los mayores ciberataques del año, la firma de seguridad blockchain Elliptic ha identificado indicios de que grupos cibernéticos afiliados a Corea del Norte orquestaron el hackeo de 285 millones de dólares del Protocolo Drift, una plataforma de futuros descentralizada líder en la blockchain de Solana. La brecha provocó que el token nativo de la plataforma se desplomara, cayendo a alrededor de $0.06 en valor, y sacudió a los inversores y a la comunidad de finanzas descentralizadas en general.
Análisis exhaustivo aumenta sospechas
Según un nuevo informe de Elliptic, varios patrones clave de blockchain, técnicas de lavado de dinero y señales técnicas utilizadas en el incidente del Protocolo Drift reflejaron estrechamente métodos vistos en ciberataques patrocinados por el estado en el pasado. La empresa señaló que los colectivos de hackers respaldados por el gobierno de Corea del Norte tienen antecedentes de emplear estas tácticas complejas en múltiples incidentes en los últimos años.
Los investigadores detallaron cómo, después del robo inicial, los activos se canalizaron rápidamente a través de una red de billeteras separadas y luego se dispersaron en numerosas direcciones en un corto período de tiempo. La aparición de transacciones de prueba y la creación deliberada de billeteras personalizadas antes del ataque apuntan a un alto grado de planificación coordinada detrás de la brecha.
La investigación en curso sugiere que si se confirma oficialmente la participación de Corea del Norte, sería el decimoctavo ciberataque mayor atribuido a actores norcoreanos rastreados por Elliptic este año. La firma estima que se han robado más de $300 millones en activos digitales a través de métodos similares desde el inicio de 2024.
Tácticas de lavado de dinero y transferencias entre cadenas
La investigación de Elliptic también destaca cómo los fondos robados se consolidaron rápidamente y luego se movieron a través de múltiples blockchains, haciendo que el rastro del dinero fuera cada vez más difícil de seguir. Inicialmente originándose en Solana, los activos fueron rápidamente intercambiados por diferentes tipos de tokens en Ethereum y otras redes, complicando los esfuerzos de seguimiento y mostrando el sofisticado dominio de los atacantes en maniobras entre cadenas.
La firma señala que el sistema único de Solana— asignando cuentas separadas a cada tipo de activo— crea una opacidad adicional. Las actividades de transacciones relacionadas con un solo perpetrador pueden parecer dispersas a través de varias direcciones, abordando el problema de manera similar a encontrar piezas de un rompecabezas en diferentes ubicaciones, lo que dificulta que los analistas conecten el panorama completo.
En respuesta, Elliptic describe cómo utiliza una metodología de “agrupamiento de cuentas” para agrupar cuentas de tokens relacionadas y visualizar mejor el flujo de fondos ilícitos. Este enfoque resultó instrumental para descubrir que docenas de tipos distintos de activos estaban en última instancia controlados por el mismo grupo de atacantes.
El informe de Elliptic observó que “los actores vinculados a Corea del Norte han capturado grandes cantidades de activos digitales en los últimos años, que los investigadores internacionales creen cada vez más que se canalizan hacia el programa de armas nucleares del país.”
La creciente amenaza fue reflejada en un estudio adicional publicado en diciembre de 2024, que encontró que las campañas de hackers respaldadas por Corea del Norte se han acelerado, con el botín del año pasado de activos digitales robados acercándose a los 2 mil millones de dólares. El Departamento del Tesoro de EE. UU. también ha declarado que gran parte de estos ingresos del cibercrimen parecen financiar los programas de armas de destrucción masiva de Corea del Norte.
